การทดสอบเจาะระบบนั้นแน่นอนว่าการค้นพบช่องโหว่เป็นสิ่งสำคัญ แต่ความสามารถในการประเมินความเสี่ยงก็สำคัญพอ ๆ กัน หลายองค์การอาจระบุข้อกังวลด้านความปลอดภัยในสถาปัตยกรรมหรือการออกแบบได้โดยใช้แบบจำลองภัยคุกคาม(threat modeling)ในภายหลัง
วันนี้ผู้เขียนจะมาอธิบายการประเมินความรุนแรงความเสี่ยงของช่องโหว่พื้นฐานจากที่ผู้ทดสอบเจาะระบบได้ช่องโหว่มา เพื่อให้แต่ละท่านนำไปปรับให้เข้ากับองค์กรของท่านเอง การมีระบบการให้คะแนนความเสี่ยงจะช่วยประหยัดเวลาและลดการโต้เถียงเกี่ยวกับลำดับความสำคัญ จะช่วยให้แน่ใจว่าธุรกิจจะไม่ถูกเบี่ยงเบนความสนใจจากความเสี่ยงเล็ก ๆ น้อย ๆและหลังจากนั้นจะมีความเสี่ยงเพื่อจัดลำดับความสำคัญของช่องโหว่นั้น ๆ ว่ามีผลกระทบต่อธุรกิจขององค์กรรุนแรงมากน้อยเพียงใด และทำให้การตัดสินใจที่ต้องปฏิบัติแก้ไขช่องโหว่ เพื่อให้อย่างไรบ้าง
มีหลายวิธีในการวิเคราะห์ความเสี่ยง สำหรับบทความนี้ผู้เขียนได้ทำแนวทางการประเมินความเสี่ยงของ OWASP โดยมีเกณฑ์การประเมินความเสี่ยงดังนี้
ความเสี่ยง (Risk) = โอกาสที่จะเกิด (Likelihood) * ผลกระทบ (Impact)
แบ่งปัจจัยที่ประกอบกันเป็น “โอกาส” และ “โอกาสที่จะเกิด “ สำหรับการประเมินความเสี่ยงให้กับความปลอดภัยของระบบ ผู้ทดสอบจะแสดงวิธีการรวมเข้าด้วยกันเพื่อกำหนดความรุนแรงโดยรวมของความเสี่ยง ดังนี้
ตัวอย่างขั้นตอนการประเมินความเสี่ยง
ขั้นตอนที่ 1: การระบุความเสี่ยง (Identifying a Risk)
ขั้นตอนแรกคือการระบุความเสี่ยงด้านความปลอดภัยที่ต้องได้รับการจัดอันดับ ผู้ทดสอบจำเป็นต้องรวบรวมข้อมูลเกี่ยวกับตัวแทนภัยคุกคามที่เกี่ยวข้อง การโจมตีที่จะใช้ ช่องโหว่ที่เกี่ยวข้อง และผลกระทบของการโจมตีที่ประสบความสำเร็จต่อธุรกิจ อาจมีกลุ่มผู้โจมตีที่เป็นไปได้หลายกลุ่ม หรือแม้แต่ผลกระทบทางธุรกิจที่เป็นไปได้หลายอย่าง โดยทั่วไป ควรทำผิดพลาดในด้านของความระมัดระวังโดยใช้ตัวเลือกกรณีที่เลวร้ายที่สุด เนื่องจากจะส่งผลให้เกิดความเสี่ยงโดยรวมสูงสุด
ขั้นตอนที่ 2: ปัจจัยในการประมาณค่าโอกาสที่จะเกิด (Factors for Estimating Likelihood)
เมื่อผู้ทดสอบได้ระบุความเสี่ยงที่อาจเกิดขึ้นและต้องการทราบว่ามันร้ายแรงเพียงใด ขั้นตอนแรกคือการประเมิน “โอกาสที่จะเกิด” ในระดับสูงสุด นี่เป็นการวัดอย่างคร่าว ๆ ว่ามีโอกาสที่ช่องโหว่นี้จะถูกเปิดเผยและใช้ประโยชน์จากผู้โจมตีมากน้อยเพียงใด ไม่จำเป็นต้องแม่นยำมากเกินไปในการประมาณการนี้ โดยทั่วไป การระบุว่าโอกาสเป็นไปได้ต่ำ ปานกลาง หรือสูงก็เพียงพอแล้ว
มีหลายปัจจัยที่สามารถช่วยในการพิจารณาโอกาสที่จะเกิด ปัจจัยแรกเกี่ยวข้องกับภัยคุกคามที่เกี่ยวข้อง เป้าหมายคือการประเมินโอกาสที่จะเกิดของการโจมตีที่ประสบความสำเร็จจากกลุ่มผู้โจมตีที่เป็นไปได้ แต่มีภัยคุกคามหลายตัวที่สามารถใช้ประโยชน์จากช่องโหว่เฉพาะได้ ดังนั้นโดยปกติแล้วควรใช้สถานการณ์ที่เลวร้ายที่สุด ตัวอย่างเช่น คนภายในองค์กรอาจเป็นผู้โจมตีที่มีแนวโน้มมากกว่าคนภายนอกที่ไม่เปิดเผยตัวตน แต่ขึ้นอยู่กับปัจจัยหลายประการ
ขั้นตอนที่ 3: ปัจจัยในการประมาณการผลกระทบ (Factors for Estimating Impact)
เมื่อพิจารณาถึงผลกระทบของการโจมตีที่ประสบความสำเร็จ สิ่งสำคัญคือต้องตระหนักว่ามีผลกระทบสองประเภท ประการแรกคือ “ผลกระทบทางเทคนิค” ต่อระบบ ข้อมูลที่ใช้ และฟังก์ชันที่มีให้ อีกประการหนึ่งคือ “ผลกระทบทางธุรกิจ”
ท้ายที่สุดแล้ว ผลกระทบทางธุรกิจมีความสำคัญมากกว่า อย่างไรก็ตาม อาจไม่สามารถเข้าถึงข้อมูลทั้งหมดที่จำเป็นในการหาผลลัพธ์ทางธุรกิจจากการแสวงหาประโยชน์ที่ประสบความสำเร็จ ในกรณีนี้การให้รายละเอียดมากพอเกี่ยวกับความเสี่ยงทางเทคนิคจะช่วยให้สามารถตัดสินใจเกี่ยวกับความเสี่ยงทางธุรกิจได้
ปัจจัยผลกระทบทางเทคนิค
ผลกระทบทางเทคนิคสามารถแบ่งออกเป็นปัจจัยต่าง ๆ ที่สอดคล้องกับประเด็นด้านความปลอดภัยแบบดั้งเดิมที่เป็นข้อกังวล ได้แก่ การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความรับผิดชอบ เป้าหมายคือการประมาณขนาดของผลกระทบต่อระบบหากช่องโหว่ถูกโจมตี
- การสูญเสียความลับ — ข้อมูลสามารถเปิดเผยได้มากน้อยเพียงใดและมีความละเอียดอ่อนเพียงใด
- สูญเสียความสมบูรณ์ — ข้อมูลเสียหายได้มากน้อยเพียงใดและเสียหายมากน้อยเพียงใด
- การสูญเสียความพร้อมใช้งาน — บริการอาจสูญหายไปเท่าใดและมีความสำคัญเพียงใด
- การสูญเสียความรับผิดชอบ — การกระทำของตัวแทนภัยคุกคามสามารถติดตามไปยังบุคคลได้หรือไม่
ปัจจัยผลกระทบทางธุรกิจ
ผลกระทบทางธุรกิจเกิดจากผลกระทบทางเทคนิค แต่จำเป็นต้องให้ผู้ประเมินมีความเข้าใจเกี่ยวกับระบบของท่านเอง มีการตั้งเป้าหมายที่จะรองรับความเสี่ยงด้วยผลกระทบทางธุรกิจ โดยเฉพาะอย่างยิ่งหากเป็นระดับผู้บริหาร ความเสี่ยงทางธุรกิจเป็นสิ่งที่แสดงให้เห็นถึงการลงทุนในการแก้ไขปัญหาด้านความปลอดภัย
หลายบริษัทมีแนวทางการจัดประเภทสินทรัพย์และ/หรือการอ้างอิงผลกระทบทางธุรกิจเพื่อช่วยกำหนดสิ่งที่สำคัญต่อธุรกิจ มาตรฐานเหล่านี้สามารถช่วยให้คุณมุ่งเน้นไปที่สิ่งที่สำคัญอย่างแท้จริงสำหรับการรักษาความปลอดภัย
ปัจจัยด้านล่างเป็นพื้นที่ทั่วไปสำหรับธุรกิจ แต่พื้นที่นี้มีลักษณะเฉพาะสำหรับบริษัทมากกว่าปัจจัยที่เกี่ยวข้องกับภัยคุกคาม ช่องโหว่ และผลกระทบทางเทคนิค
- ความเสียหายทางการเงิน -– ความเสียหายทางการเงินจะเกิดจากการถูกเอารัดเอาเปรียบมากแค่ไหน
- ความเสียหายต่อชื่อเสียง — การแสวงหาประโยชน์จะส่งผลให้เกิดความเสียหายต่อชื่อเสียงซึ่งส่งผลเสียต่อธุรกิจหรือไม่
- การไม่ปฏิบัติตามข้อกำหนด — การไม่ปฏิบัติตามข้อกำหนดมีการเปิดเผยมากน้อยเพียงใด
- การละเมิดความเป็นส่วนตัว — สามารถเปิดเผยข้อมูลส่วนบุคคลได้มากน้อยเพียงใด
ขั้นตอนที่ 4: การกำหนดระดับความรุนแรงของความเสี่ยง (Determining Severity of the Risk)
ในขั้นตอนนี้ การประมาณโอกาสที่จะเกิดและการประเมินผลกระทบจะรวมกันเพื่อคำนวณความรุนแรงโดยรวมสำหรับความเสี่ยงนี้ สิ่งนี้ทำได้โดยการหาว่าโอกาสเป็นไปได้แบ่งเป็น 3 ระดับ คือ “ ต่ำ ปานกลาง สูง ” แล้วทำแบบเดียวกันเพื่อหาผลกระทบ
การกำหนดความรุนแรง
อย่างไรก็ตาม ผู้ทดสอบได้รับค่าประมาณโอกาสที่จะเกิดและผลกระทบ ตอนนี้พวกเราสามารถรวมเข้าด้วยกัน เพื่อทราบคะแนนความรุนแรงขั้นสุดท้ายสำหรับความเสี่ยงนี้ โปรดทราบว่าหากเรามีข้อมูลผลกระทบทางธุรกิจ ควรใช้ข้อมูลนั้นแทนข้อมูลผลกระทบทางเทคนิค แต่ถ้าไม่มีข้อมูลเกี่ยวกับธุรกิจ อาจใช้ผลกระทบทางเทคนิคแทนได้
ในตัวอย่างข้างต้น โอกาสที่จะเกิด คือ ปานกลางและผลกระทบสูง ดังนั้นจากมุมมองดูเหมือนว่าความรุนแรงโดยรวมจะสูง อย่างไรก็ตามหากผลกระทบอยู่ในระดับต่ำ ดังนั้นความรุนแรงโดยรวมจึงอธิบายได้ดีที่สุดว่าต่ำเช่นกัน ด้วยเหตุนี้การทำความเข้าใจบริบทองค์กรของช่องโหว่ที่ท่านกำลังประเมินจึงมีความสำคัญอย่างยิ่งต่อการตัดสินใจเกี่ยวกับความเสี่ยง การไม่เข้าใจบริบทนี้อาจนำไปสู่การขาดความไว้วางใจระหว่างธุรกิจและทีมรักษาความปลอดภัยที่มีอยู่ในหลายองค์กร
ขั้นตอนที่ 5: ตัดสินใจว่าจะแก้ไขอะไร (Deciding What to Fix)
หลังจากจำแนกความเสี่ยงของระบบแล้ว จะมีรายการลำดับความสำคัญของสิ่งที่ต้องแก้ไข ความเสี่ยงที่รุนแรงที่สุดควรได้รับการแก้ไขก่อน
แต่ไม่ใช่ความเสี่ยงทั้งหมดที่จะคุ้มค่ากับการแก้ไข แต่ยังสมเหตุสมผลตามค่าใช้จ่ายในการแก้ไขปัญหา ตัวอย่างเช่น หากต้องใช้เงิน 10,000,000 บาท ในการดำเนินการควบคุมเพื่อป้องกันการฉ้อโกง 2,000,000 บาทต่อปี จะใช้เวลา 5 ปี ในการคืนทุนเพื่อกำจัดการสูญเสีย แต่อย่าลืมว่าชื่อเสียงอาจเสียหายจากการฉ้อฉลที่อาจทำให้องค์กรต้องเสียเงินมากกว่านี้
ขั้นตอนที่ 6: ปรับแต่งแบบจำลองการจัดระดับความเสี่ยง (Customizing Your Risk Rating Model)
การมีกรอบการจัดอันดับความเสี่ยงที่ปรับแต่งได้สำหรับธุรกิจเป็นสิ่งสำคัญสำหรับการนำไปใช้ โมเดลที่ปรับให้เหมาะสมนั้นมีแนวโน้มที่จะสร้างผลลัพธ์ที่ตรงกับการรับรู้ของผู้คนเกี่ยวกับความเสี่ยงที่ร้ายแรง อาจเสียเวลามากในการโต้เถียงเกี่ยวกับการจัดอันดับความเสี่ยงหากไม่ได้รับการสนับสนุนจากแบบจำลองเช่นนี้ มีหลายวิธีในการปรับแต่งโมเดลนี้สำหรับองค์กร
